[Comm] Re: ?: strict permissions on dirs & so on

Oleg K.Artemjev =?iso-8859-1?q?olli_=CE=C1_rbauto=2Eru?=
Ср Авг 27 15:15:28 MSD 2003 

On Wed, 27 Aug 2003 13:23:26 +0400
Alexey Tourbin <at на altlinux.ru> wrote:

> On Wed, Aug 27, 2003 at 01:11:37PM +0400, Oleg K. Artemjev wrote:
> > Какие-то у Вас неправильные пожелания. =) Вот были бы файлики с соответствующими
> > правами, можно было бы взять самый параноидальный, доработать и применить. А так
> > надо куда-то тащиться, искать, адаптировать.. фи мое по этому поводу. ;-)
> Дело в том, что security и параноидальность -- это разные, в общем-то,
> вещи.  Параноидальность -- это вообще явление психического характера.
> Но почему-то считается, что хорошие администраторы должны страдать этим
> заболеванием. :)
если администратор не является хоть немного параноиком, то обеспечивать безопасность ему
будет в тягость. В противном же случае - будет нравится. =) Вот собственно почему так 
считается - когда работа в радость ее делают лучше, это медицинский факт. =)

> А security -- вещь очень многомерная, и права доступа к каталогам -- это
> только одно измерение.  Права доступа к каталогам нельзя ограничивать до
> бесконечности и при этом повышать security.  После определенного уровня
> в системе сможет работать только root, а это уже не секьюрно.  Грубо
> говоря, права доступа к объектам ФС нужны как раз для того, чтобы
> добавить градации в черно-белую схема разграничения доступа и сделать
> возможным более гибкий подход.
а кто спорит. =)

> Я думаю, что файлик с правами доступа к объектам ФС противоречит идее
> использования RPM пакетов, в которых эти права доступа жестко прошиты.
я не знаю как это в сузе завязано с rpm'ами, да и противоречие кажущееся.
Вам хватает одних ограничений, мне - других. Поскольку по большей части
ограничения можно поделить минимум на 3 типа - ничего, средне, максимум, 
то не удивительно, что в сузе сделали такие файлики. Соответственно имеется
и утилита для их применения. В результате любой может взять за основу один из
этих вариантов и адаптировать под себя.  Так мне на домашней тачке нужно дать доступ
только 3м-4м людям, причем с разным уровнем доступа. Будь у меня такой файлик и утилита
для его применения мне было бы проще сделать вышеуказанную работу. Соответственно
раз этого нет - придется делать самому, поскольку адаптировать от другого дистрибутива
 - та еще морока.

> Но критические с точки зрения security объекты ФС тем не менее находятся
> у нас под control(8)ом.
[olli на ws002 olli]$ man 8 control
No entry for control in section 8 of the manual
[olli на ws002 olli]$ 

;-)


-- 
Bye.Olli.			http://olli.digger.org.ru

Подробная информация о списке рассылки community